Die weltweiten Hackerangriffe haben zum Beispiel auch die Fahrplan-Anzeigen der Deutschen Bahn getroffen. Wie sicher ist unsere digitale Verkehrsinfrastruktur?
Die Angriffe sollten als Weckruf für alle Unternehmen in Deutschland verstanden werden. Es gab ja bereits einige Weckrufe – und dennoch scheinen viele weiterzuschlafen. Damit muss jetzt Schluss sein! In Deutschland scheinen wir mit einem blauen Auge davon gekommen zu sein. Das mag daran liegen, dass wir – wie das BSI sagt – vorbereitet waren. Aber vielleicht hatten wir auch Glück. In jedem Fall müssen wir mit stärkeren und vielleicht auch gezielteren Angriffen auch auf kritische Infrastrukturen rechnen. Man darf nicht vergessen, dass hier NSA-Werkzeuge ihren Weg ins Darknet gefunden haben und nun prinzipiell jedem Kriminellen zur Verfügung stehen.
Sorgen machen kann man sich insbesondere um kleinere Stadtwerke, die die Menschen in den Regionen mit Wasser, Strom und anderen Diensten versorgen. Die Hälfte der Bevölkerung wird mit Wasser versorgt von Betrieben, die nach Definition nicht zur kritischen Infrastruktur gehören. Diese Betriebe sind schon auf einfachere Cyber-Attacken kaum vorbereitet.
Aber auch große Betriebe stehen vor enormen Herausforderungen. Zwar steigen die Sicherheitsbudgets, aber auch die Angriffsmethoden werden immer ausgefeilter – und letztlich steigen die Angriffskapazitäten schneller als die der Verteidigung. Die Lücke wird also größer!
Gerade bei Verkehrsleitsystemen sind die Lösungen oft sehr lange im Einsatz. Wie lässt sich sicherstellen, dass über die gesamte Einsatzdauer die nötigen Updates zur Verfügung stehen?
Für viele Betriebe ist es ein Problem, dass sie Systeme im Einsatz haben, für die es standardmäßig keine Updates mehr gibt. Hier müssen entweder entsprechende Update-Services eingekauft werden oder auf neue Systeme umgesattelt. Das Problem ist, dass die Maschinen zum Teil so alt sind, dass neuere Software gar nicht darauf läuft. Ggf. kann hier eine adäquate Schutzsoftware helfen. In jedem Fall darf man sich nicht achselzuckend zurücklehnen und nichts tun.
Was sollten Unternehmen mit besonders langlebigen IT-Systemen mit Blick auf die Hackerangriffe unmittelbar tun?
So wie Produktionsmaschinen müssen auch Rechenmaschinen, also Computer regelmäßig gewartet werden. Das heißt Updates müssen für diese Systeme eingekauft werden. Zudem muss eine entsprechende Sicherheitssoftware zwingend existieren. Im Zweifel muss man sich auch fragen, ob man alle seine Systeme tatsächlich vernetzen bzw. ins Netz stellen muss. Entnetzung kann sehr hilfreich sein. Gleichwohl ist auch das alleine kein Schutz! Über eingeschleuste Personen kann auch der Zugang vor Ort erfolgen – und das ist oftmals viel einfacher, als manch einer glauben mag.
Neben all den technischen Themen darf daher der Faktor Mensch nicht unterschätzt werden. Fast alle fortgeschrittenen Angriffe haben stets auch eine menschliche Komponente, die oftmals höher zu gewichten ist als die technische – Social Engineering ist hier das Stichwort. Von daher heißt es Mitarbeiter aufklären und schulen.
Sehen Sie gesetzlichen Regelungsbedarf für Sicherheit besonders langlebiger IT-Systeme?
Mit dem IT-Sicherheitsgesetz wurden die Weichen gestellt für höhere Sicherheitsstandards und einen besseren Datenaustausch, was perspektivisch auch bessere Abwehrmöglichkeiten schaffen soll. Hier sollten wir dem Gesetz erst einmal die Chance geben, seine Wirkung zu entfalten, zumal die nachgelagerten Verordnungen noch gar nicht alle auf den Weg gebracht wurden. Jetzt schärfere Gesetzt hier zu fordern, wäre verfrüht.